1. 程式人生 > >詳解 HTTPS、TLS、SSL、HTTP區別和關係

詳解 HTTPS、TLS、SSL、HTTP區別和關係

一、什麼是HTTPS、TLS、SSL

HTTPS,也稱作HTTP over TLS。TLS的前身是SSL,TLS 1.0通常被標示為SSL 3.1,TLS 1.1為SSL 3.2,TLS 1.2為SSL 3.3。下圖描述了在TCP/IP協議棧中TLS(各子協議)和HTTP的關係。

TCP/IP協議棧中TLS和HTTP的關係

二、HTTP和HTTPS協議的區別

1、HTTPS協議需要到證書頒發機構(Certificate Authority,簡稱CA)申請證書,一般免費證書很少,需要交費。

2、HTTP是超文字傳輸協議,資訊是明文傳輸,HTTPS則是具有安全性的SSL加密傳輸協議。

3、HTTP和HTTPS使用的是完全不同的連線方式,使用的埠也不一樣,前者是80,後者是443。

4、HTTP的連線很簡單,是無狀態的。

5、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比HTTP協議安全。

從上面可看出,HTTPS和HTTP協議相比提供了

· 資料完整性:內容傳輸經過完整性校驗

· 資料隱私性:內容經過對稱加密,每個連線生成一個唯一的加密金鑰

· 身份認證:第三方無法偽造服務端(客戶端)身份

其中,資料完整性和隱私性由TLS Record Protocol保證,身份認證由TLS Handshaking Protocols實現。

三、證書

1、什麼是證書呢?

SSL證書

2、證書中包含什麼資訊

證書資訊:過期時間和序列號

所有者資訊:姓名等

所有者公鑰

3、為什麼服務端要傳送證書給客戶端

網際網路有太多的服務需要使用證書來驗證身份,以至於客戶端(作業系統或瀏覽器等)無法內建所有證書,需要通過服務端將證書傳送給客戶端。

4、客戶端為什麼要驗證接收到的證書

中間人攻擊

中間人攻擊

5、客戶端如何驗證接收到的證書

為了回答這個問題,需要引入數字簽名(Digital Signature)。

數字簽名

將一段文字通過雜湊(hash)和私鑰加密處理後生成數字簽名。

假設訊息傳遞在Bob,Susan和Pat三人之間發生。Susan將訊息連同數字簽名一起傳送給Bob,Bob接收到訊息後,可以這樣驗證接收到的訊息就是Susan傳送的

數字簽名

當然,這個前提是Bob知道Susan的公鑰。更重要的是,和訊息本身一樣,公鑰不能在不安全的網路中直接傳送給Bob。

此時就引入了證書頒發機構(Certificate Authority,簡稱CA),CA數量並不多,Bob客戶端內建了所有受信任CA的證書。CA對Susan的公鑰(和其他資訊)數字簽名後生成證書。

Susan將證書傳送給Bob後,Bob通過CA證書的公鑰驗證證書籤名。

Bob信任CA,CA信任Susan, 使得 Bob信任Susan,信任鏈(Chain Of Trust)就是這樣形成的。

事實上,Bob客戶端內建的是CA的根證書(Root Certificate),HTTPS協議中伺服器會發送證書鏈(Certificate Chain)給客戶端。

正式開始HTTPS的內容:

一、HTTPS的基本原理

從上面可知,HTTPS能夠加密資訊,以免敏感資訊被第三方獲取。所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。

HTTPS其實是有兩部分組成:HTTP +SSL/ TLS,也就是在HTTP上又加了一層處理加密資訊的模組。服務端和客戶端的資訊傳輸都會通過TLS進行加密,所以傳輸的資料都是加密後的資料。具體是如何進行加密,解密,驗證的,且看下圖。

HTTPS加密,解密,驗證

1. 客戶端發起HTTPS請求

這個沒什麼好說的,就是使用者在瀏覽器裡輸入一個HTTPS網址,然後連線到server的443埠。

2. 服務端的配置

採用HTTPS協議的伺服器必須要有一套數字證書,可以自己製作,也可以向組織申請。區別就是自己頒發的證書需要客戶端驗證通過,才可以繼續訪問,而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇,有1年的免費服務)。這套證書其實就是一對公鑰和私鑰。如果對公鑰和私鑰不太理解,可以想象成一把鑰匙和一個鎖頭,只是全世界只有你一個人有這把鑰匙,你可以把鎖頭給別人,別人可以用這個鎖把重要的東西鎖起來,然後發給你,因為只有你一個人有這把鑰匙,所以只有你才能看到被這把鎖鎖起來的東西。

3. 傳送證書

這個證書其實就是公鑰,只是包含了很多資訊,如證書的頒發機構,過期時間等等。

4. 客戶端解析證書

這部分工作是由客戶端的TLS來完成的,首先會驗證公鑰是否有效,比如頒發機構,過期時間等等,如果發現異常,則會彈出一個警告框,提示證書存在問題。如果證書沒有問題,那麼就生成一個隨機值。然後用證書對該隨機值進行加密。就好像上面說的,把隨機值用鎖頭鎖起來,這樣除非有鑰匙,不然看不到被鎖住的內容。

5. 傳送加密資訊

這部分傳送的是用證書加密後的隨機值,目的就是讓服務端得到這個隨機值,以後客戶端和服務端的通訊就可以通過這個隨機值來進行加密解密了。

6. 服務端解密資訊

服務端用私鑰解密後,得到了客戶端傳過來的隨機值(私鑰),然後把內容通過該值進行對稱加密。所謂對稱加密就是,將資訊和私鑰(隨機值)通過某種演算法混合在一起,這樣除非知道私鑰(隨機值),不然無法獲取內容,而正好客戶端和服務端都知道這個私鑰(隨機值),所以只要加密演算法夠彪悍,私鑰(隨機值)夠複雜,資料就夠安全。

7. 傳輸加密後的資訊

這部分資訊是服務端用私鑰(隨機值)加密後的資訊,可以在客戶端被還原

8. 客戶端解密資訊

客戶端用之前生成的私鑰(隨機值)解密服務端傳過來的資訊,於是獲取瞭解密後的內容。整個過程第三方即使監聽到了資料,也束手無策。

二、HTTPS的通訊流程和握手過程

1、HTTPS對應的通訊時序圖:

HTTPS的通訊流程和握手過程

2、HTTPS在傳輸資料之前需要客戶端(瀏覽器)與服務端(網站)之間進行一次握手,在握手過程中將確立雙方加密傳輸資料的密碼資訊。TLS/SSL協議不僅僅是一套加密傳輸的協議,更是一件經過藝術家精心設計的藝術品,TLS/SSL中使用了非對稱加密,對稱加密以及HASH演算法。握手過程的具體描述如下:

1. 瀏覽器將自己支援的一套加密規則傳送給網站。

2.網站從中選出一組加密演算法與HASH演算法,並將自己的身份資訊以證書的形式發回給瀏覽器。證書裡面包含了網站地址,加密公鑰,以及證書的頒發機構等資訊。

3.瀏覽器獲得網站證書之後瀏覽器要做以下工作:

a) 驗證證書的合法性(頒發證書的機構是否合法,證書中包含的網站地址是否與正在訪問的地址一致等),如果證書受信任,則瀏覽器欄裡面會顯示一個小鎖頭,否則會給出證書不受信的提示。

b) 如果證書受信任,或者是使用者接受了不受信的證書,瀏覽器會生成一串隨機數的密碼,並用證書中提供的公鑰加密。

c) 使用約定好的HASH演算法計算握手訊息,並使用生成的隨機數對訊息進行加密,最後將之前生成的所有資訊傳送給網站。

4.網站接收瀏覽器發來的資料之後要做以下的操作:

a) 使用自己的私鑰將資訊解密取出密碼,使用密碼解密瀏覽器發來的握手訊息,並驗證HASH是否與瀏覽器發來的一致。

b) 使用密碼加密一段握手訊息,傳送給瀏覽器。

5.瀏覽器解密並計算握手訊息的HASH,如果與服務端發來的HASH一致,此時握手過程結束,之後所有的通訊資料將由之前瀏覽器生成的隨機密碼並利用對稱加密演算法進行加密。

關鍵詞:HTTPS、TLS、SSL、HTTPS和HTTP區別

本文來源於網際網路,版權歸屬於原作者。本站所有轉載文章言論不代表本站觀點,如侵犯了原作者權利,請聯絡站長(3143591980#qq.com)刪除。

相關資訊:

更多HTTPS基礎知識參考:HTTPS和HTTP的區別章節導航:HTTPS加密協議詳解(一):HTTPS基礎知識HTTPS加密協議詳解(二):TLS/SSL工作原理HTTPS加密協議詳解(三):PKI 體系...

網站都變成HTTPS開頭,並且還有一把小綠鎖掛在位址列,那麼HTTPS和HTTP的區別是...HTTPS是在HTTP上建立SSL加密層,並對傳輸資料進行加密,是HTTP協議的安全版。HTTPS...

HTTPS加密協議詳解(四):TLS/SSL握手過程HTTPS加密協議詳解(五):HTTPS效能與優化本文關鍵詞:TLS/SSL握手過程本文連結:http://www.wosign.com/FAQ/faq2016-0309-...

HTTPS加密協議詳解(四):TLS/SSL握手過程釋出日期:2016-03-09 1、握手與金鑰協商過程基於RSA握手和金鑰交換的客戶端驗證伺服器為示例詳解TLS/SSL握手過程。...

HTTPS協議的主要功能基本都依賴於TLS/SSL協議,本節分析TLS/SSL協議工作原理。TLS...HTTPS加密協議詳解(四):TLS/SSL握手過程...